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Tout a commencé par un 
appel téléphonique samedi 
12 juillet, un de mes clients 
me prévient que son site est 
indisponible. Son site n'est 
pas hébergé sur mes 
serveurs privés et je n'en 
fais pas la maintenance. 
Après une première 
vérification, il s'avère qu'un 
processus se sert de son 
hébergement comme d'un 
point de départ pour le 
spamming (envois massifs 


de mails). 


Malgré une tentative de 
nettoyage, il a bien fallu me 
rendre à l'évidence, il allait 
falloir que je recharge 
intégralement le core de 
WordPress ainsi que tous 
ses plugin et que je vérifie 
que rien ne traîne dans le 


répertoire uploads. 


Seulement en parcourant le 
web, j'allais apprendre que 
mon client est loin, très loin 
d'être le seul dans ce cas. 
En effet un piratage massif 
des sites sous WordPress 
venait de se dérouler. À 


première vue, peu importe le 
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type d'hébergement 
(mutualisé ou privé), les 
thèmes ou les plugin 
utilisés. Même si l'éditeur 
Sucuri a rapidement pointé 
du doigt le plugin de 
newsletter MailPoet. Il 
existe en fait plusieurs 
plugin impactés par des 
failles qui ont permis cette 
attaque massive. En voici 


une liste non exhaustive : 


e Gallery Objects 0.4 SQL 
Injection 

e WPTouch Authenticated 
File Upload 

e CopySafe PDF Protection 
0.6 Shell Upload 

e Tidio Gallery 1.1 Shell 
Upload / XSS 

e Download Manager 2.6.8 
Shell Upload 

e BSK PDF Manager 1.3.2 
SQL Injection 

e MailPoet wysija- 


newsletters 


Unauthenticated File 
Upload 

e NextGEN Gallery 2.0.63 
Shell Upload 


e blogstand-smart- 
banner. 1.0 Cross Site 
Scripting 

e ml-slider 2.5 Cross Site 
Scripting 

e wp-construction-mode.1.8 
Cross Site Scripting 

e Simple Share Buttons 
Adder 4.4 CSRF / XSS 


Pas grave diront certains, il 
suffit d'utiliser une 
sauvegarde pour restaurer 
mon site. Et là je dis 
ERREUR ! Car les fichiers 
malicieux peuvent être 
présents depuis plusieurs 
mois de manière silencieuse 
sur votre site. De ce fait vos 


sauvegardes ont donc de 
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grandes chances d'êtres 


infectées... 


Il ne reste plus aux 
possesseurs de sites 
infectés (ou à leur 
webmaster) qu'à nettoyer 
leur base de données, et 
surtout, supprimer tout ce 
qui est core, thème, plugins, 
et réuploader le tout au 
propre avec les dernières 


versions. 


Premier conseil : Bloquez 


l'accès à votre site ! 


En effet vous ne voulez pas 
qu'un hacker ou un visiteur 
accède à votre site pendant 
que vous tentez de le 
nettoyer Pour cela il suffit 
simplement de créer un 
fichier htaccess avec le 


code suivant : 


order deny,allow 
deny from all 


allow from !!Votre IP ici!! 


Il suffit d'indiquer votre 
adresse IP à la place de 
« Votre IP ici >» pour 
autoriser l'accès du site à 


vous et vous seul ! 


Deuxième conseil : Protégez 


votre dossier uploads ! 


Vérifiez qu'aucun fichier ne 
traîne dans votre répertoire 
uploads et insérer ensuite 
un fichier .htaccess avec le 


code suivant : 
<Files *.php> 
Deny from all 
</Files > 


Options - Indexes 


Cela aura deux effets, 
empêcher l'exécution de 


script PHP et empêcher de 
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cataloguer le contenu de vos 


dossiers. 


Je souhaite bon courage à 
ceux ou celles qui sont en 
train de tenter de récupérer 


leur site... 
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